Q GDW 11320-2014 多渠道售电缴费安全防护技术规范及编制说明.pdf

1、ICS29.240Q /Q Q Q G DWG G G国 家 电 网 公 司 企 业 标 准Q Q Q Q /G DWG G G 1320 2014多渠道售电缴费安全防护技术规范SafetyspecifcationsforMulti-chanellectronicpaym entsytem2015-06-03发布 2015-06-03实 施国家电网公司 发 布Q Q Q Q /G DWG G G 11320 20142Q Q Q Q /G DWG G G 11320 2014I目 次前言 1范围 12规范 性引 用文 件 13术语 和定 义 14系统 总体 防护 要求 15系统 安全 防护 方

2、案 2编制 说明 15Q Q Q Q /G DWG G G 11320 2014I前 言本 标 准 遵 循 先 进 性 、 可 靠 性 和 稳 定 性 的 原 则 ， 在 总 结 国 内 外 相 关 行 业 系 统 安 全 防 护 建 设 的 基 础上，从 边界 安全 、网 络环 境安 全、 主机 系统 安全 、应 用安 全及 数据 安全 等方 面， 对多 渠道 售电 缴费安全防 护提 出了 规范 性要 求， 制定 本标 准。本标 准由 国家 电网 公司 营销 部提 出并 解释 。 本标 准由 国家 电网 公司 科技 部归 口。 本标 准 起 草 单 位 ： 国 网 电 力 科 学 研 究 院

3、 、 国 网 山 东 省 电 力 公 司 、 国 网 安 徽 省 电 力 公 司 、 国 网 辽宁省电力 有限 公司 、国 网四 川省 电力 公司 、国 网江 苏省 电力 公司 、国 网北 京市 电力 公司 、国 网江 西省电力 公 司 、 国 网 浙 江 省 电 力 公 司 、 国 网 河 南 省 电 力 公 司 、 国 网 青 海 省 电 力 公 司 、 国 网 冀 北 电 力 有 限 公司、国 网山 西省 电力 公司 、国 网上 海市 电力 公司 、国 网福 建省 电力 有限 公司 、国 网吉 林省 电力 有限公司、国 网陕 西省 电力 公司 、国 网甘 肃省 电力 公司 、国 网宁 夏

4、电 力公 司、 中国 电力 科学 研究 院、 国网信息通 信有 限公 司、 江苏 苏源 高科 技有 限公 司。 本标 准 主 要 起 草 人 ： 谢 永 胜 、 王 延 芳 、 刘 夫 新 、 宋 伟 、 王 罡 、 邱 扬 、 王 志 伟 、 吴 英 姿 、 沈 建 新、王炜、 朱炯 、马 国政 、刘 升、 胡占 廷、 李建 忠、 周庆 葭、 陶时 伟、 戈丹 、胡 博、 关长 祥、 王长 胜、高英南、 路民 辉、 华普 校、 马林 国、 王文 、朱 六璋 、林 文孝 、陈 静、 樊爱 军、 李勃 、谷 丰强 、陈 茂源、刘剑 欣、 李捷 、刘 剑锋 、陈 冲。本标 准首 次发 布。 本标

5、准在 执行 过程 中的 意见 或建 议反 馈至 国家 电网 公司 科技 部。Q Q Q Q /G DWG G G 11320 20141多渠道售电缴费安全防护技术规范1范围 本标 准 规 定 了 多 渠 道 售 电 缴 费 安 全 防 护 技 术 总 体 要 求 ， 主 要 从 一 体 化 缴 费 接 入 管 理 平 台 （ 以 下简称缴 费接 入平 台） 和各 类缴 费渠 道的 数据 处理 、通 信信 道、 安全 防护 设备 等方 面进 行规 范。 本标 准 适 用 于 缴 费 接 入 平 台 、 各类 终 端 以 及 缴 费 接 入 平 台 支 持 的 金 融 、 非 金 融 等 第 三

6、方 主 站 系统的安 全防 护。 2规范 性引 用文 件 下列 文 件 对 于 本 文 件 的 应 用 是 必 不 可 少 的 。 凡 是 注 日 期 的 引 用 文 件 ， 仅 注 日 期 的 引 用 文 件 适 用于本文 件。 凡是 不注 日期 的引 用文 件， 其最 新版 本（ 包括 所有 的修 改单 ）适 用于 本文 件。 GA/T3872002计算 机信 息系 统安 全等 级 保护 网络 技术 要求B/85672006计算 机软 件文 档编 制规 范Q/GDW763.12012电力 自助 缴费 终端 通用 规范 第 1部分 ：技 术规 范/ 764.12012电力 缴费 POS终端

7、通用 规范 第 1部分 ：技 术规 范3术语 和定 义 下列 术语 和定 义适 用于 本文 件。3.1安全 缴费 通信 模块 securitypaymentcommunicationmodule安 全 缴 费 通 信 模 块 是 缴 费 终 端 的 组 成 部 分 ， 是 缴 费 终 端 与 缴 费 接 入 平 台 之 间 数 据 交 换 的 安 全 通道。依 据国 家电 网公 司信 息安 全接 入相 关要 求建 立加 密隧 道对 网络 报文 进行 加解 密， 实现 缴费 协议转换、 数据 安全 存储 、缴 费上 线认 证、 网络 通信 接口 等功 能。 3.2SM1算法 SM1cryptog

8、raphicalgorithm1算法 是由 国家 密码 管理 局批 准的 一种 商用 密码 分组 对称 算法 。3.安全 接入 平台 universalsafelyaccesplatform国家 电 网 公 司 信 息 安 全 接 入 平 台 是 构 建 智 能 电 网 信 息 安 全 接 入 体 系 的 核 心 基 础 ； 承 担 智 能 电 网各种复 杂网 络环 境下 智能 终端 实时 监控 ，安 全接 入， 数据 安全 传输 与交 换、 预警 等重 要功 能。 3.4缴费 系统 paymentsystem缴费 系统 是缴 费接 入平 台、 缴费 网络 和各 类缴 费渠 道的 统称 。4系

9、统 总体 防护 要求 售 电 缴 费 是 电 力 营 销 工 作 中 的 基 础 业 务 ， 为 确 保 缴 费 系 统 的 安 全 性 和 保 密 性 ， 参 照 GA/T3872002、 GB/T85672006规范 要求 ，结 合多 种缴 费方 式， 制定 多渠 道售 电缴 费安 全防 护规 范。根据 国 家 电 网 公 司 智 能 电 网 信 息 安 全 防 护 总 体 规 定 ， 依 据 “ 分区 分 域 、 安 全 接 入 、 动 态 感 知 、精益管理 、全 面防 护 ” 防护策 略， 结合 缴费 接入 平台 的实 际应 用情 况， 将缴 费接 入平 台部 署在 国家 电网Q Q

10、 Q Q /G DWG G G 11320 20142公司 管理 信息 大区 信息 内网 ，如图 1所示 。缴 费接 入平 台在 信息 内网 中独 立成 域， 按照 三级 防护 原则 进行安 全防 护设 计。图 1缴费 接入 平台 所属 分区4.1安全 防护 总体 目标防止 缴 费 系 统 病 毒 感 染 ， 防 止 恶 意 渗 透 攻 击 ， 防 止 数 据 丢 失 、 篡 改 ， 防 止 应 用 系 统 被 破 坏 ， 防止通信网 络瘫 痪， 保证 数据 传输 的机 密性 ，保 证数 据存 储的 安全 性， 以保 障缴 费系 统安 全稳 定运 行、相关业 务安 全， 确保 信息 内网 安全

11、 。4.2安全 防护 总体 要求多渠 道售 电缴 费总 体安 全防 护需 遵循 以下 要求 ： a） 遵循 国家 电网 公司 信息 安全 总体 策略 ，满 足 国家 电网 公司 信息 安全 各项 要求 ；b） 遵循 等级 保护 三级 系统 要求 开展 缴费 系统 安全 防护 工作 ；c） 缴费系统的安全防护应积极采用各种技术，如防火墙技术、加密认证技术、网络管理技术等， 在缴 费系 统的 各个 层面 （操 作系 统、 数据 库系 统、 应用 系统 、通 信信 道、 终端 等） 加以 防范 ；d） 安全 管理 和安 全防 护措 施并 重， 注意 运维 安全 ，避 免安 全风 险扩 散。5系统 安

12、全 防护 方案5.1安全 防护 内容多渠 道售 电缴 费系 统安 全防 护内 容如图 2所示 ：图 2安全 防护 内容 框图Q Q Q Q /G DWG G G 11320 20143多渠 道售 电缴 费系 统安 全防 护对 象与 防护 要求 见表 1所示 。表 1安 全 防 护 内 容5.2安全 防护 设计5.21边界 安全 防护 设计多渠道售电缴费系统边界安全防护设计应严格遵循国家电网公司对边界划分原则，具体要求见表2。 表 2缴费 接入 平台 边界 安全 防护 要求5.2网络 环境 安全 防护 设计网 络 环 境 安 全 防 护 是 对 缴 费 系 统 中 的 网 络 设 备 及 网 络

13、 业 务 信 息 流 进 行 安 全 防 护 ， 在 网 络 访 问 控制、 安全 事件 审计 、网 络防 范、 网络 设备 防护 、网 络业 务信 息流 等方 面需 遵循 以下 要求 ： a） 网络 访问 控制 1） 应在 缴费 接入 平台 业务 服务 器与 终端 之间 进行 路由 控制 ，建 立安 全访 问路 径；2） 应具 备根 据会 话状 态信 息， 为数 据流 提供 允许 或拒 绝访 问的 能力 ，控 制粒 度为 端口 级；3） 应对 进出 网络 的信 息内 容进 行过 滤， 实 现 对应 用层 FTPELNETSMTP等协 议命 令级 的 防护；4） 应采 取技 术手 段防 止地

14、址欺 骗；5） 应定 义各 渠道 访问 规则 ，控 制渠 道资 源访 问权 限， 控制 粒度 为单 个用 户。b） 安全 事件 审计 1） 缴费 系统 应用 的网 络设 备应 具备 对运 行状 况、 网络 流量 、用 户行 为等 进行 日志 记录 功能 ；防护编号 防 护 对 象 防 护 要 求N1 信息内外网边界 满 足 信 息 内 外 网 边 界 安 全 防 护 要 求 与 网 络 环 境 安全防护要求N2 信息内网横向域边界 满 足 信 息 内 网 横 向 域 边 界 安 全 防 护 要 求 与 网 络 环境安全防护要求N3、 N5信息内网与 第三方专线接入 边界 满 足 信 息 内 网

15、 与 第 三 方 边 界 安 全 防 护 要 求 与 满 足网络环境安全防护要求N4 信息内网 纵向 边界 满 足 信 息 内 网 纵 向 边 界 安 全 防 护 要 求 与 满 足 网 络环境安全防护要求N6 缴费接入平台部署服务器 满足主机系统安全防护要求N7 缴费接入平台及终端应用系统 满足应用系统安全防护要求N8 缴费接入平台与各渠道数据信息 满足数据安全防护要求N9 缴费接入平台与其它系统接口信息 满足数据安全防护要求边界 描 述 安全防护要求信息内网第三方边界 与金融、非 金融 主站 及无 线通 信终端边界 对于流经边界的信息流进行入侵检测，应 用双向 认证加密、数字签名等机制保证

16、接入安全信息内网纵向边界 与地市电力营业厅 网络访问控制 、 信息入侵检测 、边界流量监测横向域间边界 与信息内网其他业务系统边界 网络访问控制 与 信息入侵检测信息内外网边界 9598互动 服 务 网 站 与内 网 数 据 库之间的边界 应保证信息外网与信息内网强逻辑隔离Q Q Q Q /G DWG G G 11320 201442） 审计 日志 记录 应包 括： 事件 的时 间、 用户 、事 件类 型、 事件 结果 及其 它与 审计 相关 信息 ；3） 应能 分析 审计 日志 ，并 产生 审计 报表 ；4） 应对 审计 记录 进行 保护 。c） 网络 防范 1） 应对 未授 权设 备联 到

17、内 部网 络行 为进 行检 查， 准确 定位 ，并 对其 阻断 ；2） 保护 重要 业务 信息 流， 防止 窃听 、篡 改等 网络 攻击 ；3） 当检 测到 攻击 行为 时， 记录 攻击源 IP、攻 击类 型、 攻击 目标 、攻 击时 间并 能报 警。d） 网络 设备 防护 1） 应对 登录 网络 设备 的用 户进 行身 份鉴 别， 保证 设备 的安 全管 理；2） 进行 设备 的安 全加 固， 定期 进行 配置 文件 备份 ；3） 对设 备运 行状 况、 异常 流量 及用 户行 为等 事件 进行 安全 审计 。e） 网络 业务 信息 流1） 业务 信息 经由 网络 跨安 全域 传输 时应 基

18、于 信息 流保 密性 要求 采取 加密 措施 ；2） 为保 证信 息网 络传 输完 整性 ，应 采用 数字 签名 保证 信息 不被 非法 篡改 或删 除。5.23主机 安全 防护 设计主机 安 全 防 护 对 象 为 缴 费 接 入 平 台 应 用 的 各 种 服 务 器 ， 在 用 户 身 份 鉴 别 、 主 机 访 问 控 制 、 主 机安全审 计、 主机 入侵 防范 、主 机恶 意代 码防 范等 方面 应遵 循如 下要 求： a） 用户 身份 鉴别1） 应对 登录 操作 系统 和数 据库 系统 的用 户进 行身 份鉴 别；2） 操作 系统 和数 据库 系统 管理 用户 身份 标识 应具

19、有不 易被 冒用 的特 点， 口 令 应有 复杂 度要 求并定 期更 换；3） 应启 用登 录失 败处 理功 能；4） 当对 服务 器进 行远 程管 理时 ，应 采取 必要 措施 ，防 止鉴 别信 息在 网络 传输 过程 中被 窃听 ；5） 应 为 操 作 系 统 和 数 据 库 系 统 的 不 同 用 户 分 配 不 同 的 用 户 名 密 码 ， 确 保 用 户 名 密 码 具 有 唯 一 性 ；6） 应采 用两 种或 两种 以上 组合 的鉴 别技 术对 管理 用户 进行 身份 鉴别 。b） 主机 访问 控制 1） 应启 用访 问控 制功 能， 依据 安全 策略 控制 用户 对资 源的 访

20、问 ；2） 应根 据管 理用 户的 角色 分配 权限 ， 实 现 管理 用户 的权 限分 离， 仅 授 予管 理用 户所 需的 最 小权限 ；3） 应严 格限 制默 认账 户的 访问 权限 ，重 命名 系统 默认 账户 ，修 改账 户的 默认 口令 ；4） 应及 时删 除多 余、 过期 账户 ，避 免共 享账 户存 在；5） 应对 重要 信息 设置 敏感 标记 ；6） 应依 据安 全策 略严 格控 制用 户对 有敏 感标 记重 要信 息的 操作 。c） 主机 安全 审计 1） 应当 以系 统日 志方 式对 用户 行为 、主 机资 源及 异常 访问 等安 全事 件审 计；2） 审计 记录 应包

21、括事 件的 日期 、时 间、 类型 、主 客体 标识 和事 件结 果等 ；3） 加强 对日 志记 录的 保护 ，避 免被 意外 删除 、修 改或 覆盖 ；4） 审计 范围 应当 覆盖 到服 务器 每个 操作 系统 用户 和数 据库 用户 ；5） 应定 期根 据日 志记 录数 据进 行事 件分 析， 并生 成审 计报 表。d） 主机 入侵 防范 1） 应能 检测 到对 重要 服务 器入 侵的 行为 ， 能 够 记录 入侵源 IP、 攻 击 类型 、 攻 击 目标 、 攻 击 时间， 并在 发生 严重 入侵 事件 时报 警；2） 应能 对重 要程 序的 完整 性检 测， 并在 检测 到完 整性 受

22、到 破坏 后具 有恢 复措 施。Q Q Q Q /G DWG G G 11320 20145e） 主机 恶意 代码 防范 1） 应安 装防 恶意 代码 软件 ，及 时更 新防 恶意 代码 软件 版本 和恶 意代 码库 ；2） 主机 防恶 意代 码产 品应 具有 与网 络防 恶意 代码 产品 不同 的恶 意代 码库 ；3） 应支 持防 恶意 代码 统一 管理 。5.24应用 安全 防护 设计应 用 安 全 防 护 对 象 为 缴 费 接 入 平 台 和 终 端 应 用 系 统 、 用 户 接 口 、 系 统 间 数 据 接 口 ， 在 用 户 身 份 鉴 别 、访 问 控 制 、 应 用 安 全

23、 审 计 、 用 户 数 据 完 整 性 保 护 、 软 件 容 错 、 系 统 间 数 据 接 口 安 全 等 方 面 应 遵 循 如 下 要 求 ： a） 用户 身份 鉴别 1） 应当 实现 对权 限的 赋予 、 变 更 制定 严格 的审 核、 批 准 、 操 作 流程 ， 权 限 变动 经审 核批 准 后方可 执行 或生 效；2） 依据 权限 最小 化原 则对 用户 赋予 适当 的权 限， 执 行 角色 分离 ， 禁 止多 人共 用账 号， 并 定 期进行 权限 复核 。b） 访问 控制 1） 应用 系统 应采 用访 问控 制功 能， 制 定 安全 策略 以管 理访 问相 关主 体、 客

24、 体 及访 问类 型、 访问权 限；2） 对重 要信 息资 源设 置敏 感标 记， 制 定 访问 控制 策略 严格 控制 用户 对带 敏感 标记 的重 要信 息资源 的操 作。c） 应用 安全 审计 1） 应 用 系 统 应 当 对 于 每 个 用 户 及 应 用 系 统 相 关 的 安 全 事 件 进 行 日 志 记 录 ， 并 及 时 进 行 审 计 分 析 ；2） 应用 系统 审计 记录 的内 容至 少应 包括 事件 的时 间、 日 期 ， 发 起 者相 关信 息， 访 问 类型 ， 访问描 述和 访问 结果 ；3） 应用 系统 应当 提供 对审 计记 录进 行统 计、 查询 、分 析及

25、 生成 报表 的功 能。d） 用户 数据 完整 性保 护1） 检验 在安 全计 算环 境中 用户 数据 存储 与传 递的 完整 性， 并能 发现 完整 性被 破坏 的情 况；2） 缴费 接入 平台 和终 端的 本地 敏感 数据 存储 应采 取加 密等 防护 手段 ，以 防 止数 据在 发生 丢 失 、失窃 时造 成信 息泄 露；3） 应采 用日 志记 录并 结合 身份 鉴别 技术 提供 在请 求的 情况 下为 数据 原发 者或 接收 者提 供原 发或接 收证 据的 功能 。e） 软件 容错1） 应提 供数 据有 效性 检验 功能 ， 保 证 通过 人机 接口 输入 或通 过通 信接 口输 入的

26、 数据 格式 和 长度符 合设 定要 求；2） 应提 供应 用自 动保 护功 能， 当故 障发 生时 自动 保护 当前 所有 状态 ，保 证能 够成 功恢 复。f） 系统 间数 据接 口安 全 1） 在接 口数 据连 接建 立之 前进 行接 口认 证；2） 对于 跨安 全域 进行 传输 的业 务数 据应 当采 用加 密措 施；3） 应当 采用 数字 签名 技术 保证 通信 的完 整性 。5.25数据 安全 防护 设计多 渠 道 售 电 缴 费 系 统 应 对 数 据 分 类 、 数 据 备 份 、 数 据 灾 备 等 方 面 进 行 安 全 防 护 设 计 ， 应 遵 循 以 下 要求： a）

27、 数据 分类 保护 应根 据数 据的 安全 需求 进行 分类 ，采 取 相应 防护 措施 ，数 据 分类 及数 据防 护要 求，见表 3所 示 。b） 数据 备份 要求Q Q Q Q /G DWG G G 11320 201461） 为提供 7x24h不间断服务，配置足够数量的驱动器，满足备份系统能够在 8h内完成一次数据 全备 份，在 2h内完 成数 据增 量备 份；2） 满足 数据 进行 集中 备份 ，根 据业 务需 求灵 活定 制备 份策 略； 表 3数据 分类 及数 据防 护要 求3） 备份 系统 需支 持自 动备 份， 手动 备份 ，同 时生 成备 份工 作日 志；4） 可管 理性

28、：要 求备 份系 统易 于维 护和 管理 ，提 供图 形化 界面 ；5） 实时 性： 支持 在线 备份 数据 功能 ；6） 可恢 复性 ：灾 难或 故障 发生 后， 能够 在国 网灾 备规 定时 间要 求内 完成 数据 恢复 ；7） 应提 供本 地数 据备 份与 恢复 功能 ，完 全备 份至 少每 天一 次。c） 数据 灾备 要求1） 应提 供异 地数 据备 份功 能将 关键 数据 定时 传输 到备 用场 地；2） 系统 恢复 时间 目标 RTO不大于 2h；3） 目标 RPO为零 数据 丢失 ，并 可支 持业 务运 作；4） 当生 产中 心瘫 痪后 ，灾 备中 心服 务器 系统 能够 承担

29、关键 业务 和紧 急业 务的 处理 能力 ；5） 应具 备同 省异 地应 用级 灾备 功能 。5.26终端 安全 防护 设计终端包括无线通信终端和有线通信终端，其中无线通信终端为通过无线 APN专网方式进行数据传输的终 端， 有线 通信 终端 为部 署在 营业 厅通 过光 纤专 网进 行数 据传 输的 终端 ，无 线通 信终 端及 有线通信终 端安 全防 护应 遵循 以下 要求 :a） 无线 通信 终端 安全 防护 要求 1） 在物 理方 面应 具有 防窃 、防 破坏 、用 电安 全等 功能 ；2） 终端 应 与 缴 费 接 入 平 台 通过 安 全 接 入 平 台 实现 基 于 数字 证书

30、的 身 份 认 证 及 数 据 加 解 密 功能 ；3） 终端 上线 认证 后方 可与 缴费 接入 平台 进行 应用 数据 交互 ；4） 应实 现敏 感信 息加 密存 储；5） 终端 应采 用非 Windows操作 系统 ；6） 支持 银行 卡和 电力 专用 支付 卡的 终端 应符 合金 融行 业及 电力 安全 规范 。b） 有线 通信 终端 安全 防护 要求1） 在物 理方 面应 具有 防窃 、防 破坏 、用 电安 全等 功能 ；2） 终端 上线 认证 后方 可与 缴费 接入 平台 进行 应用 数据 交互 ；3） 应实 现敏 感信 息加 密存 储；4） 终端 应采 用非 Windows操作

31、系统 ；业务数据 系统数据数据类型 有线传输业务数据 无线传输业务数据 配置数据 鉴别数据 审计数据描述 通 过 有 线 方 式 传 输到 缴 费 接 入 平 台 的 缴费数据 通 过 无 线 方 式 传输 到 缴 费 接 入 平 台的缴费数据 设 备 和 系 统 的配置文件 设 备 和 系 统 的认 证 数 据 配 置 文件 设 备 和 应 用 软件的审计信息防护要求 应进行完整性、可 用性保护 应 进 行 加 密 认 证 、完 整 性 、可 用 性 保 护 应 进 行 完 整性、可用性保护 应 进 行 认 证 、 完整 性 、可 用 性 保 护 应 进 行 完 整 性 、可用性保护注 1：

32、 鉴别数据： 各 类主机、 网 络设备、 平 台软件、 应 用软件的用户名 /口令信息， 以 及各类设备之间的认证数据 （ 服务器之间，前置机之间，路由器之间等）；注 2： 配置数据：服务器、缴费接入平台软件、应用软件的配置文件和数据。Q Q Q Q /G DWG G G 11320 201475） 支持 银行 卡和 电力 专用 支付 卡的 终端 应符 合金 融行 业及 电力 安全 规范 。5.27物理 环境 安全 防护 设计对物 理层 面安 全防 护， 从以 下两 方面 加强 物理 环境 安全 防护 ： a） 对部 署于 开放 物理 环境 ， 并 包 含关 键的 和敏 感的 业务 信息 处理

33、 设备 ， 应 有 适当 的物 理安 全措 施和接 入控 制， 从实 体上 加以 保护 ，以 防未 经授 权的 访问 并免 于干 扰和 破坏 ；b） 应设 计并 实施 针对 火灾 、 水 灾 、 地 震 、 爆 炸 、 骚 乱 和其 他形 式的 自然 或人 为灾 难的 物理 保护 措施， 要考 虑任 何邻 近地 点所 带来 的安 全威 胁。5.3安全 防护 措施5.31总体 安全 防护 措施系统 安 全 防 护 包 括 边 界 安 全 防 护 、 网 络 环 境 安 全 防 护 、 主 机 系 统 安 全 防 护 、 应 用 安 全 防 护 、 数据安全 防护 和终 端安 全防 护。 总体 安

34、全 防护 拓扑 图如图 3所示 。图 3多渠 道售 电缴 费安 全防 护拓 扑图5.32边界 安全 防护 措施边界 安 全 防 护 设 计 包 括 信 息 外 网 第 三 方 边 界 、 信 息 内 网 纵 向 边 界 、 信 息 内 网 横 向 域 边 界 、 信 息内外网 边界 ，边 界描 述及 控制 措施 见表 4所示 。表 4边界 安全 防护 措施 表边 界 描 述 控 制 措 施信 息 内 网 与 第 三 方边界 与金 融 、 非 金 融 机 构 主 站系统 金融边界满足金融行业防护措施，非 金融及无线通信终端 通过安全接入平台与缴费接入平台通信， 实 现身份认证、 访 问 控制及数

35、据加密传输 。非金融机构主站侧应部署防火墙 。采用入侵检测系统进行入侵防护 。信息内网纵向边界 与地市电力营业厅边界 采用硬件防火墙 。采用入侵检测系统进行入侵防护。信息内网横向域边界 与信 息 内 网 其 他 业 务 系 统边界 采用硬件防火墙、软件防火墙 。交换机划分 VLAN进行访问控制 。Q Q Q Q /G DWG G G 11320 201485.3网络 环境 安全 防护 措施网络 环境 安全 防护 措施 及实 现方 式见表 5所示 。表 5网络 环境 安全 防护 措施 表 采用入侵检测系统进行入侵防护。信息内外网边界 9598互 动 服 务 网 站 与 内网数据库之间的边界 采用

36、逻辑强隔离 的 方式，实现信息安全交互 。安全防护措施 安全防护措施实现方式网络访问控制 建议采用 802.1X等网络准入控制手段进行认证后方可允许接入网络 。采用 IP与 MAC地址绑定等手段，以防止网络地址欺骗 。硬件防火墙或软件防火墙，以硬件或软件的形态实现网络访问控制功能 。在交换机上划分 VLAN，进而设定访问控制列表以实现网络访问控制功能 。采用 HTPS、 SH等安全远程管理手段，而不应采用不安全的 HTP、 Telnt等方式进行远程管理 。集中管理地市的网络接口， 在 省 （ 自治区、 直 辖市） 公 司 层面对防火墙策略进行统一集中管 理 。安全事件审计 采用集中日志服务器对

37、网络设备的运行状况、异常流量、用户行为等事件进行审计记录 。审计记录应包括事件的日期和时间、发 起用户、事 件类型、 事 件状态及其他与审计相关的信 息 ，应当定期进行事件分析，并生成审计报表 。应当对审计记录进行权限限定等保护，避免受到未预期的删除、修改或覆盖等 。网络防范 对于网络及安全设备定期进行漏洞扫描， 以 发现网络及安全设备中存在的漏洞及配置弱点并 及时进行修补，扫描应制定相应的回退计划并在非关键业务时段进行 。在各 主 要 服 务 器 所 在 网 段 部 署 网 络 入 侵 检 测 系 统 以 进 行 网 络 监 控 ， 记 录 入 侵 的 源 IP地址 、目的 IP地址、攻击类

38、型、攻击的时间等信息 。在网络性能允许的前提下，建议在网络边界处部署防病毒网关或相应防病毒模块 。网络设备防护应当对设备默认配置信息根据具体情况进行安全配置修改及安全加固， 如 升级存在漏洞的设 备操作 系 统 文 件 ， 禁 止 不 必 要 的 协 议 响 应 ， 禁 止 ARP转发 ， 设 定 安 全 口 令 策 略 ， 制 定 会 话 超 时自动结束策略等 。每次更新网络设备或安全设备配置信息后， 以及定期进行配置文件备份， 防 止配置意外更改 或丢失 。保证关键网络设备的业务处理能力具备冗余空间， 保证网络带宽满足业务高峰期需要， 应 采 用网管系统等方式对关键网络设备的处理能力、网络

39、带宽进行监测 。主要网络设备应对同一用户选择两种或者两种以上组合的鉴别技术来进行身份鉴别 。网络 设 备 或 服 务 器 采 用 基 于 SNMP的网 络 管 理 系 统 进 行 监 控 及 管 理 ， 应 使 用 SNMPV3版 本 ，网络管理系统的 Com m unity不应使用 ublic、 Private等默认字段 。网络数据传输 采取加密措施，保证敏感信息经由网络传输时不被非法侦听 。考虑信息经网络传输的完整性，采用数字签名手段保证信息不被非法篡改或删除 。Q Q Q Q /G DWG G G 11320 201495.34主机 安全 防护 措施主机 系统 安全 防护 从操 作系 统

40、安 全、 数据 库安 全两 个层 面进 行防 护， 防护 措施 见表 6。表 6主机 系统 安全 防护 措施 表对于敏感信息流的防护，可在应用层加密或在信息流中插入数字签名 。在缴费接入平台侧安装信息安全接入平台，保证加密认证措施的实现 。控制措施 控制措施实现方式用户身份鉴别 设置操作系统用户不成功的鉴别失败次数以及达到此阀值所采取的措施 。设置操作系统用户交互登录失败、管理控制台自锁，设置系统超时自动注销功能 。设置账户锁定登录失败锁定次数、锁定时间，修改账户 TMOUT值，设置自动注销时间 。采用口令、软证书、硬证书实现对用户的身份鉴别 。网络服务加固 关闭系统中不安全的服务，确保操作系

41、统只开启承载业务所必需的网络服务和网络端口 。在不影响业务系统正常运行情况下，停止或禁用与承载业务无关的服务 。屏蔽与承载业务无关的网络端口 。主机访问控制 合理设置系统中重要文件的访问权限只授予必要的用户必要的访问权限 。配置系统重 要文 件的 访问 控制 策略 ，严 格限 制访 问权 限（ 如读 、写 、执 行），避免被普通修改和删除 。远程控制有安全机制保证，限制能够访问本机的用户或 IP地址 。使用安全的远程管理方式， 关 闭多余的远程管理方式， 禁止 rot用户远程登陆； 设置访问控 制策略限制能够访问本机的用户或 IP地址 。在主机信任关系配置文件中，删除远程信任主机 。禁止 ro

42、t用户远程登陆，屏蔽登录 baner信息 。主机安全审计 配置主机审计系统和数据库审计系统， 使系统对用户登录、 系 统管理行为、 入 侵攻击行为等 重要事件进行审计 。配置系统日志策略配置文件， 使 系统对鉴权事件、 登录事件、 重要的系统管理、 系统软硬件 故障等进行审计 。对审计产生的数据分配合理的存储空间和存储时间 。设置合适的日志配置文件的访问控制避免被普通修改和删除 。主机入侵防范 对操作系统设置口令策略，设置口令复杂性要求，为所有用户设置强壮的口令 。开启口令复杂性要求， 设置口令长度， 重 要系统用户口令长度大于 8位； 一 般系统用户口令 长度大于 6位 。为用户设置强壮的口

43、令 。采用主机入侵检测系统进行入侵防护 。主机恶意代码防范 安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库 。防病毒系统覆盖所有服务器及客户端 。对服务器的防病毒客户端管理策略进行配置， 定制防病毒软件的防病毒策略， 配 置定期查杀 病毒和查杀病毒的周期，配置查杀病毒的相关策略和病毒库升级策略 。设置防病毒系统在删除病毒前进行备份隔离措施 。账号权限加固 对操作系统用户、 用户组进行权限设置， 应 用系统用户和系统普通用户权限的定义遵循最小 权限原则 删除系统多余用户，避免使用弱密码 。合理配置应用账号或用户自建账号权限 。Q Q Q Q /G DWG G G 11320 201

44、4105.35应用 安全 防护 措施系统的应用安全防护包括：用户身份鉴别、访问控制、应用安全审计、用户数据完整性保护 /、数据保 密存 储、 系统 间数 据接 口等 ，防 护措 施见表 7。表 7应用 安全 防护 措施 表删除系统中多余的自建账号 。修改弱口令账号，确保系统账号口令长度和复杂度满足安全要求 。禁用或删除非 rot的超级用户 ， 禁止系统伪账户登录 ， 限制能够 su为 rot的用户 。控制措施 控制措施实现方式用户身份鉴别 在用户登录或访问信息系统资源过程中，防止非授权访问，进行身份合法性的鉴别； 需采用强化管理口令、数 字证书以及其他具有相应安全强度的两种或两种以上的组合机制

45、进 行用户 身 份 鉴 别 （ 如 采 用 用 户 名 /口令 与 挑 战 应 答 、 动 态 口 令 、 物 理 设 备 、 生 物 识 别 技 术 和 数 字证书等身份鉴别技术的任意组合）， 并对鉴别数据进行保密性和完整性保护；用户认证成功登陆系统空闲一段时间无操作后锁定应用并重新进行认证 。访问控制 提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问 。访问控制的覆盖范围包括与资源访问相关的主体、客体及他们之间的操作 。由授权主体配置访问控制策略，并严格限制默认账户的访问权限 。授予不同账户为完成各自承担任务所需的最小权限，并在他们之间形成相互制约的关系 。具有对重要信息

46、资源设置敏感标记的功能 。依据安全策略严格控制用户对有敏感标记重要信息资源的操作 。应用安全审计 针对计算环 境中 服务 器、 操作 系统 、数 据库 系统 等软 硬件 运行 情况 及系 统用 户行 为进 行跟 踪，以便事后追踪分析。 应提供系统审计措施对用户登录情况、 系统配置情况以及系统资源使用情 况等进行记录 。审计记录包括安全事件的主体、 客 体、 时 间、 类 型和结果等内容。 应 提供 审计记录查询、 分类、分析和存储保护 。能对特定安全事件进行报警；确保审计记录不被破坏或非授权访问 。用户数据完整性 保护 在系统中， 数据通常有两种状态： 存 储状态和传输状态， 检 验存储和传输

47、过程中用户数据的 完整性，并能发现完整性被破坏的情况 。存储介质采取具有加密机制的防护手段，以防止存储时发生丢失、失窃时造成的信息泄露 。应用安全缴费通信模块，实现终端本地敏感信息加密存储 。系统间数据接口 安全 在接口数据连接建立之前进行接口认证，认 证方式可采用共享口令、用户名和口令等方式实 现 ，采用共享口令或用户名和口令认证时，应当对口令长度、复杂度、生存周期等进行强制要求 。在认证过程中所经网络传输的口令信息禁止明文传送，通过哈希（ HAS）单向运算、 SL加密、 SH等方式实现 。对于跨安全域进行传输的业务数据， 采用加密措施， 采 用应用开发或启用软件自身的加密配 置实现，或通过

48、 SL、 IPSEC等方式实现加密 。采用数字签名技术 （ MD5、 SHA-1等） 保 证通信的完整性， 系 统应能够检测到管理数据、 鉴 别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复 措施 。Q Q Q Q /G DWG G G 11320 201415.36数据 安全 防护 措施数 据 安 全 防 护 是 对 缴 费 接 入 平 台 及 终 端 的 数 据 进 行 如 下 防 护 ： 数 据 分 类 保 护 、 数 据 备 份 、 数 据 灾 备等。 5.36.1数据 分类 保护数据 分类 控制 措施 实现 方式 见表 8。表 8数据 分类 保护 措施 表5.36.2数据 备份多渠 道售 电缴 费系 统数 据备 份应 遵循 如下 要求 ： a） 缴费 接入 平台 定时 或定 期执 行数 据备 份操 作， 当 正 式系 统数 据被 破坏 或者 正式 系统 异常 时， 可用备 份数 据迅 速恢 复正 式系 统数 据；b） 建立 异地 灾难 备份 中心 ， 配 备灾 难恢 复所 需的 通信 线路 、 网 络设 备和 数据 处理 设备 ， 提 供 业 务应用 的实 施无 缝切 换；控制措